hiep03
Intern
Tích hợp với Active Directory (AD)
I. Mở đầu
Trong hầu hết các doanh nghiệp hiện nay, Microsoft Active Directory (AD) đóng vai trò là hệ thống quản lý danh tính tập trung, lưu trữ thông tin người dùng, máy tính và các nhóm bảo mật trong tổ chức. Việc tích hợp Aruba ClearPass với Active Directory cho phép doanh nghiệp tận dụng cơ sở dữ liệu người dùng hiện có để thực hiện xác thực truy cập mạng, phân quyền dựa trên nhóm người dùng và áp dụng các chính sách NAC một cách linh hoạt.Thông qua quá trình tích hợp, ClearPass có thể xác thực người dùng bằng chính tài khoản Active Directory, truy xuất thông tin nhóm (Group Membership) và các thuộc tính khác của người dùng để phục vụ cho Role Mapping và Enforcement Policy. Điều này giúp đơn giản hóa việc quản lý tài khoản, đồng thời đảm bảo các chính sách truy cập mạng luôn đồng nhất với hệ thống nhận dạng tập trung của doanh nghiệp.
Trong bài lab này, chúng ta sẽ thực hiện tích hợp Aruba ClearPass Policy Manager với Microsoft Active Directory, kiểm tra khả năng xác thực tài khoản miền (Domain Account) và truy vấn thông tin người dùng từ Active Directory để phục vụ cho các dịch vụ xác thực mạng.
II. Lý thuyết
1. Active Directory là gì?
Active Directory Domain Services (AD DS) là dịch vụ thư mục của Microsoft dùng để quản lý tập trung người dùng, máy tính, nhóm bảo mật và các tài nguyên trong hệ thống mạng doanh nghiệp.Thay vì lưu trữ tài khoản cục bộ trên từng thiết bị, người dùng chỉ cần một tài khoản Active Directory để truy cập vào nhiều hệ thống và dịch vụ khác nhau. AD đồng thời cung cấp cơ chế xác thực tập trung thông qua các giao thức như Kerberos, NTLM và LDAP.
2. Vai trò của Active Directory trong Aruba ClearPass
Khi được tích hợp với Active Directory, ClearPass có thể:- Xác thực người dùng bằng tài khoản Domain.
- Truy vấn thông tin nhóm người dùng (memberOf).
- Truy vấn các thuộc tính như department, title, mail,...
- Áp dụng Role Mapping dựa trên thông tin từ Active Directory.
- Cấp VLAN, ACL hoặc Role khác nhau tùy theo nhóm người dùng.
3. Phiên bản hỗ trợ
Hỗ trợ phiên bản Windows Server: ClearPass chỉ hỗ trợ các bản Windows Server còn được Microsoft hỗ trợ chính thức.- Bản 6.11.x: Hỗ trợ AD 2012, 2016, và 2022.
- Bản 6.9.x: Hỗ trợ AD 2012, 2016, 2019, và 2022.
4. Hai cơ chế tích hợp với Active Directory trong ClearPass
Domain JoinKhi thực hiện Join Domain, ClearPass sẽ được tạo một Computer Account trong Active Directory và trở thành thành viên của Domain.
Sau khi Join Domain thành công, ClearPass có thể sử dụng các cơ chế xác thực của Microsoft như NTLM, Kerberos và Winbind để xác thực người dùng.
Đối với các phương thức xác thực như EAP-PEAP-MSCHAPv2, Domain Join là yêu cầu bắt buộc vì người dùng không gửi mật khẩu dạng rõ mà gửi thông tin Challenge/Response. Trong trường hợp này, ClearPass phải chuyển quá trình xác thực tới Domain Controller thông qua cơ chế Domain Membership.
Domain Join giúp ClearPass trả lời câu hỏi:
Mật khẩu của người dùng có đúng hay không?
Active Directory Source
Active Directory Source là thành phần đóng vai trò như một LDAP Client, kết nối và truy vấn cơ sở dữ liệu cây thư mục của Active Directory thông qua giao thức LDAP (Port 389) hoặc LDAPS (Port 636). Thành phần này tham gia vào cả 2 giai đoạn của phiên kết nối:
- Giai đoạn 1 (Trước khi check Pass): Khi nhận được Username (ví dụ: nva), ClearPass sử dụng AD Source để thực hiện Identity Lookup (Tìm kiếm danh tính) dựa trên các bộ lọc như sAMAccountName. Bước này giúp định vị xem User nằm ở OU nào, đồng thời kiểm tra xem tài khoản có bị Vô hiệu hóa (Disabled) hoặc bị Khóa (Locked out) hay không trước khi tiến hành xác thực mật khẩu.
- Giai đoạn 2 (Sau khi check Pass thành công): ClearPass tiếp tục dùng AD Source làm nguồn Ủy quyền (Authorization Source) để bốc các thuộc tính của người dùng như: memberOf (Nhóm bảo mật), department (Phòng ban), title, mail, company... về bộ nhớ tạm.
III. Mô hình
Mục tiêu Win Employee có thể đăng nhập để vào mạng nội bộ (VLAN 20) bằng tài khoản được cấp trong AD
IV. Cấu hình
1. Trên máy WinServer
Thông số cấu hình sẽ như sau
Tạo tài khoản cho ClearPass
Tạo tài khoản cho User
Cấu hình múi giờ
2. Cấu hình ClearPass
a. Đồng bộ thời gian từ máy WinServer
Chọn đồng bộ với NTP Server
Điền IP của máy WinServer
Cấu hình múi giờ
Save
b. Cấu hình Join AD Domain
Chọn Server cần cấu hình
Cấu hình DNS cho trỏ về máy WinServer
Sau khi xong kéo xuống dưới
Administrator > Server Manager > Server Configuration > Chọn náy chủ muốn gia nhập miền
-Domain Controller: Nhập tên miền đầy đủ (FQDN) của DC, sau dó nhấn Tab sẽ có thông báo
Trying to determine the NetBIOS name... (Đang cố gắng xác định tên NetBIOS...).
Nếu thành công thì chỗ NetBIOS Name sẽ có tên
- Domain Controller name conflict
Trong tường hợp truy vấn DNS trả về FDQN khác với thông tin đã nhập thì có 3 option đễ xử lý:
- Tiếp tục sử dụng tên DC đã nhập
- Sử dụng DC do truy vấn DNS trả về
- Hủy bỏ thao tác Gia nhập Miền.
Ở đây mình sẽ nhập tài khoản đã tạo sẵn cho COM
Save
Sau khi xong
c. Cấu hình Authen Source AD
Vào Configuration > Authentication > Sources
Add
Chọn Type là Active Directory
Tiếp theo qua phần Primary để cấu hình Chi tiết kết nối LDAP
Save
d. Cấu hình Profile, Policy và Service
Profile
Trả vlan 20
Trả vlan 99 (QARANTINE)
Reset Session
Policy
Service
802.1X
Ở phần Authen Source mình sẽ cấu hình lấy nguồn từ AD
Save
e. Cấu hình Switch
VLAN
Mã:
vlan 20
name EMPLOYEE-VLAN
vlan 99
name QUARANTINE-VLAN
vlan 200
name MANAGEMENT-VLAN
exit
interface Vlan200
description MGMT-CLEARPASS
ip address 10.0.200.254 255.255.255.0
no shutdown
interface Vlan20
description INTRALAN-EMPLOYEE
ip address 10.0.20.254 255.255.255.0
no shutdown
interface Vlan99
description NAC-QUARANTINE
ip address 10.0.99.254 255.255.255.0
no shutdownBật AAA Toàn Cục
Mã:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
dot1x system-auth-controlCấu hình kết nối về ClearPass
Mã:
radius server CPPM_DATA_PORT
address ipv4 10.0.200.20 auth-port 1812 acct-port 1813
key ClearPass@123
aaa server radius dynamic-author
client 10.0.200.20 server-key ClearPass@123Cấu hình các cổng kết nối hạ tầng
Mã:
interface GigabitEthernet0/0
description Connect_to_ClearPass_Data_Port
switchport mode access
switchport access vlan 200
spanning-tree portfast
no shutdown
interface GigabitEthernet0/2
description Connect_to_Windows_Server_DC
switchport mode access
switchport access vlan 200
spanning-tree portfast
no shutdownCấu hình Cổng Xác thực người dùng (Gi0/1)
Mã:
interface GigabitEthernet0/1
description NAC_ENABLED_ACCESS_PORT
switchport mode access
switchport access vlan 99
spanning-tree portfast
authentication port-control auto
mab
dot1x pae authenticator
authentication order dot1x mab
authentication priority dot1x mab
authentication host-mode multi-domain
authentication violation replace
dot1x timeout tx-period 7
dot1x max-reauth-req 2
authentication periodic
authentication timer reauthenticate serverV. Kiểm tra
Máy Employee đăng nhập bằng tài khoản đã tạo trong AD
Kết quả trong Access Tracker
Đăng nhập thành công và Source đang lấy từ AD
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới